Recientemente, la AEPD ha publicado una guía sobre la utilización de datos biométricos para el control de presencia y acceso al puesto de trabajo, que fija los criterios de uso de esta tecnología tanto con fines laborales como no laborales. Establece las medidas que deben tenerse en cuenta para que un tratamiento de datos personales que utilice datos biométricos cumpla con la normativa de protección de datos.
Sistemas y datos biométricos
Los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello. A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas.
Por tanto, con base en lo previsto en el Reglamento General de Protección de Datos (RGPD), el tratamiento de datos biométricos, tanto para identificación como para autenticación, se considera un tratamiento de alto riesgo que incluye categorías especiales de datos. Para poder tratar categorías especiales de datos es necesario que exista una condición que legitime su tratamiento y una circunstancia que levante la prohibición de su tratamiento.
Registro de la jornada y sistemas biométricos
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad.
En relación con el control de acceso con fines laborales, este se suele fundamentar en la previsión contenida en el art. 20.3 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que establece que:
“3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”.
El propósito de esta obligación tiene como objetivo garantizar el cumplimiento de los límites en materia de jornada, crear un marco de seguridad jurídica tanto para las personas trabajadoras como para las empresas y posibilitar el control por parte de la Inspección de Trabajo y Seguridad Social, como medio para corregir la situación de precariedad, bajos salarios y pobreza que afecta a muchos de los trabajadores que sufren los abusos en su jornada laboral.
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española.
Consentimiento del interesado
La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
Listado de medidas para el uso de datos biométricos
En todo caso, para tratar datos biométricos, de forma previa al inicio del tratamiento, es obligatoria la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) en la que, entre otros aspectos, se acredite la el análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos personales.
La AEPD ha incluido en la guía un listado de medidas que deben llevarse a cabo cuando se realice un tratamiento de datos biométrico, siempre que se cumplan previamente los requisitos de cumplimiento de los principios del RGPD. Estas medidas son:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.